面向业务的信息安全风险评估量化模型研究-计算机软件与理论专业毕业论文.docxVIP

1 1 2 2 目 录 摘 要 I 1 绪 论 2 1.1 研究目的和意义 3 1.2 国内外风险评估现状 4 1.2.1 国外的研究历程和现状 4 1.2.2 国内的研究历程和现状 5 1.3 本文的研究内容和论文主要框架 6 1.3.1 本文的研究内容 6 1.3.2 全文结构简介 7 2 信息安全风险评估相关理论……………………………………………….…….7 2.1 信息安全风险评估概述 8 2.1.1 风险评估的概念和目的 8 2.1.2 风险评估的要素 8 2.2 风险评估的重要标准 9 2.2.1 BS7799 10 2.2.2 ISO/IEC 13335（IT 安全管理指南） 12 2.2.3 GB/T 18336-2001（信息技术安全性评估准则） 13 2.2.4 信息安全风险评估指南 14 2.2.5 其它标准 14 2.3 风险评估的方法 15 2.3.1 风险评估的工作流程 15 2.3.2 风险评估的方法 15 2.4 国内风险评估现状 18 2.5 小结 18 3 面向业务的风险评估模型 19 3.1 信息安全风险评估模型存在的问题 19 3.2 面向业务的风险评估模型 20 3.2.1 业务模型 20 3.2.2 信息资产、威胁和脆弱性相互关系 21 3.2.3 业务模型事件描述 22 3.3 资产评估 23 3.3.1 资产识别 24 3.3.2 资产赋值 26 3.4 脆弱性评估 28 3.4.1 脆弱性识别 28 3.4.2 脆弱性赋值 29 3.5 威胁评估 30 3.5.1 威胁识别 30 3.5.2 威胁赋值 31 3.6 小结 32 4 面向业务的量化分析方法 33 4.1 传统分析方法存在的问题 33 4.1.1 故障树分析法 33 4.1.2 失效模式、后果与严重度分析法 33 4.1.3 模糊分析法 33 4.1.4 事件数分析法 34 4.1.5 存在的问题 34 4.2 面向业务的量化信息安全风险分析方法 35 4.2.1 层次化系统特征描述模型 35 4.2.2 风险计算模型 37 4.2.3 风险计算步骤 39 4.3 小结 39 5 风险评估辅助软件的设计与实现 41 5.1 风险评估辅助软件的系统分析 41 5.1.1 辅助软件的目标和内容 41 5.1.2 系统建模 41 5.2 软件系统设计 45 5.2.1 系统结构 46 5.2.2 详细设计 47 5.2.3 数据库设计 48 5.3 软件实现 56 5.4 小结 59 6 结 论 60 6.1 本文工作总结 60 6.2 进一步工作及研究展望 60 致 谢 62 参 考 文 献 63 附 录 65 1 绪 论 本章阐述了研究信息安全风险评估问题的目的、研究意义。简要介绍了目前 国内外在信息安全风险评估研究领域内的发展和现状，以及一些常用的风险评估 工具，并分析了在该领域内还存在的问题，最后介绍了本课题的主要研究内容。 1.1 研究目的和意义 在信息时代，信息化是一把锋利的双刃剑，信息化程度越高，信息安全问题往 往也异常严重。信息系统的安全问题已经从单纯的技术问题变成涉及到国家、组 织和个人等各个层面的社会性问题，说它具有战略意义也毫不为过。信息成为第 一战略资源，更是起着至关重要的作用。怎样确保信息系统能够在长时间内处于 较高的安全水平，是目前急需解决的问题。信息安全的维护，不仅仅是增加一些 安全设备，制定较为完善的安全策略，建立相关安全体系同样重要。信息资产的 安全是关系到组织能否完成其使命的大事。资产与风险是天生的一对矛盾，资产 价值越高，面临的风险就越大。信息资产有着与传统资产不同的特性，面临着新 型风险。信息安全风险管理的目的就是要缓解和平衡这一对矛盾，将风险控制到 可接受的程度，保护信息及其相关资产，最终保证机构能够完成其使命。 要做好信息安全工作，基础和前提就是要对信息系统有充分有效的风险分析和 评估，信息安全风险评估是信息安全主动防御中的一项重要技术，它对积极的网 络安全技术的研究具有重要的意义，是目前的研究热点之一。我们进行信息安全 风险评估，就是要尽可能的了解目前与未来的信息系统风险所在，充分评估这些 风险可能带来的威胁与影响的程度，做到对症下药，防患于未然，主动保护信息 系统的安全，将系统遭受攻击和破坏的可能性降低到最小程度。通过风险评估能 够全面细致的了解信息系统安全需求，了解信息系统脆弱性，了解面临的威胁， 为满足信息系统的安全需求和降低安全风险提供必要依据，风险评估是风险管理 的基础。